Encontre a data de criação do serviço no Windows?

Se em um sistema comprometido você está tentando analisar serviços recém-instalados ou quando os serviços foram instalados, como você faz isso. Onde posso encontrar a data de criação de um determinado serviço no registro do Windows?

Não há como determinar a data de criação de um serviço específico do Windows, pois o miniaplicativo de serviços e o registro do Windows não armazenam datas relacionadas às criações.

Há, no entanto, uma data da última modificação, oculta à vista (inclusive no editor de registro do Windows), mas que pode ser acessada usando o RegQueryInfoKey . Como todos os serviços do Windows armazenados no registro, você pode verificar a Data da última modificação com as chaves de registro relacionadas ao serviço em questão, procurando emHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Como alternativa, se você exportar as chaves do registro nas quais deseja obter informações como um arquivo de texto, a data da última modificação de cada chave será gravada no arquivo de texto.

Finalmente, uma solução usando o PowerShell para retornar a Data da última modificação já foi discutida no estouro de pilha .

Iniciando no Vista, a criação do serviço é registrada no log de eventos "Sistema" na identificação de evento 7045 do Service Control Manager.

Por exemplo, o seguinte comando:

C:\>sc create hello binpath= notepad.exe
[SC] CreateService SUCCESS

Produziu a seguinte entrada do log de eventos:

Log Name:      System
Source:        Service Control Manager
Date:          12/16/2014 3:00:00 PM
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          DOMAIN\username
Computer:      WORKSTATION.DOMAIN.local
Description:
A service was installed in the system.

Service Name:  hello
Service File Name:  notepad.exe
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem